Ook al is het advies zelf niet bindend, de (omzetting in Nederlandse wetgeving van) de privacyrichtlijnen is dat wel. Een particuliere belangenorganisatie die opkomt voor privacybescherming kan m.i. bij de rechter vorderen dat Google zich eraan houdt. Als de rechter wil afwijken van de uitleg die de werkgroep geeft aan de privacyrichtlijn, lijkt het mij in de rede te liggen dat de rechter eerst een vraag stelt aan het Hof van Justitie in Luxemburg. De hoogste rechter kan daar vrijwel niet onderuit.

Zou je dat misschien uit kunnen leggen? Naar mijn idee is een cookie een bestandje dat op de computer van de bezoeker staat. Op het moment dat een website deze opvraagt, is het aan de bezoeker of hij de inhoud van dit bestandje naar de website verzend. Dat dit veelal geautomatiseerd wordt dmv een browser, doet er m.i. niet toe.

Maar misschien bedoelt Freeagingme dat een op de computer van de bezoeker opgeslagen cookie zich nog volledig binnen het domein van de gebruiker bevindt? Het is dus alsof de website je een persoonlijk ID toekent, die jij op een stuk papier noteert en bij een volgend bezoek opnieuw mag invoeren. Alleen wordt bij een cookie die ID opgeslagen op de computer van de bezoeker en automatisch doorgestuurd.

Als je zo’n ID hier in Europa zelf op een stuk papier noteert lijkt dat niet voldoende te zijn om te concluderen dat de website onder de privacywetgeving valt. Valt zo’n site er dan wel onder door het opslaan van een cookie op een Europese PC, die in principe volledig onder controle staat van de gebruiker?

“wie is de verantwoordelijke persoon voor een cookie op je PC. Is dat de beheerder van de website die de cookie heeft geplaatst, of ben jij dat zelf?”

Nu ben ik geen jurist, maar het lijkt mij dat de bezoeker (jij zelf) hiervoor verantwoordelijk bent. Immers, de website biedt jouw een tekstbestandje aan, dat je vrijwillig op je computer zet. Vaak automatiseert de bezoeker dit middels zijn/haar browser, sommige browsers vragen zelfs expleciet of deze cookies moeten worden opgeslagen.

Verder wordt er vrijwel altijd data op de server bijgehouden die gekoppeld is aan de informatie uit het cookie. In het cookie staat niet meer dan een nummer, een identifier. Doordat jouw browser elke keer dat cookie meestuurt, kan de server zien dat dit wederom de heer bona fides is en op basis daarvan jouw geschiedenis uit de database op de server halen.

Maar de redenering van de werkgroep uit 2002 volgend komt het ongeveer op hetzelfde neer (par. 3 onder A):
“The controller decided to use this equipment for the purpose of processing personal data and (…) several technical operations take
place without the control of the data subject. The controller disposes over the user’s
equipment (…)”

Freeagingme heeft m.i. gelijk dat de gebruiker meestal wel degelijk kan verhinderen dat cookies zonder zijn toestemming worden opgeslagen (precies volgens de suggestie van de werkgroep, overigens). Alleen doet vrijwel niemand dat omdat het irritant is om steeds te worden gevraagd.

Aan de andere kant hoeft het antwoord op de vraag art. 4 lid 1 sub c van toepassing is op cookies op je PC niet noodzakelijk op basis van alleen technische overwegingen te worden gegeven. Wat ook meespeelt is of het doel van de richtlijn wel wordt bereikt als je cookies erbuiten laat, bijvoorbeeld.

Lijkt me een mooie vraag om eens aan het Hof van Justitie in Luxemburg voor te leggen.